Dana 8. lipnja ove godine sve će velike svjetske internetske tvrtke poput
Googlea, Yahooa i ostalih, ponuditi svoj sadržaj preko protokola IPv6
na vrijeme od 24 sata, kako bi potaknuli druge tvrtke i organizacije u industriji
na prelazak na IPv6 adrese. Za Svjetski dan IPv6 trebamo stoga biti spremni...
[ Marijana Novaković, Jaguar Network ]
Problem nestanka IPV4 adresa u zadnje je doba udarna tema svjetskih, a sve više i hrvatskih medija. Ovaj problem, za razliku od prijašnjeg, nije toliko vezan za krajnjeg korisnika, već uz osobe vezane uz mrežni dio Interneta.
Sam korisnik ne bi trebao osjetiti nikakvu razliku prelaska na IPv6, osim težeg pamćenja većeg broja znamenki u svojoj IP adresi. No, zato i postoji DNS (eng. Domain Name Server), zar ne?
Ljudi su često u zabludi da je IPv6 opcija koja može, ali ne mora biti. Nije to izbor između dvaju pića ili dvije marke automobila - IPv6 protokol je nužnost koja se mora prihvatiti, ponajprije zbog nedostatka IPv4 adresa. Takva je situacija iskorištena za dizajn i implementaciju ovog poboljšanog protokola s većim brojem IP adresa.
Povijesni razvoj IP protokola
Protokol IPv4 stvoren je 1981. godine kao tehnologija koja je trebala trajati dugi niz godina. Taj protokol koristi 32 bita adresnog prostora, što otprilike odgovara broju od 4 milijarde jedinstvenih IP adresa. No, nitko nije mogao predvidjeti brz rast Interneta.
Kako bi se usporilo trošenje IP adresa, uvedene su metode poput DHCP-a (eng. Dynamic Host Configuration Protocol), CIDR-a (eng. Classless Inter-Domain Routing) i NAT-a (eng. Network Address Translation), no ni one nisu dovoljne zadnjih nekoliko godina. Problem je i to što zbog vremena u kojem je protokol razvijen, neke stvari, posebice vezane uz zaštitu, mobilnu tehnologiju i kvalitetu, nisu integrirane u sam protokol, već postoje dodatni protokoli koji se za to brinu. Problem je i rastući broj elementa u tablicama usmjeravanja. Kako bi se sve te teškoće riješile, u ranim 90-ima IETF (eng. Internet Engineering Taskforce) osniva grupu s ciljem stvaranja novog internetskog protokola po imenu IPng (eng. IP next generation) koji nakon nekog vremena mijenja ime u IPv6.
Godine 1998. izdani su prvi službeni RFC-ovi (eng. Request for Comments) te implementacija IPv6 počinje i u operacijskim sustavima. Taj novi protokol koristi 128 bita adresnog prostora, što odgovara broju od 340x1033 jedinstvenih IPv6 adresa.
Osim što dugoročno rješava problem nedostatka adresnog prostora, novi protokol uvodi nove mogućnosti i usluge.
Nove karakteristike uvedene u IPv6:
- veći adresni prostor - adresni se prostor proširuje od 232 na 2128 adresa
- unaprijeđeno usmjeravanje paketa
- kontrola kvalitete - zaglavlje IPv6 paketa sadrži polja koja omogućuju podršku za QoS (eng. Quality of Service)
- pokretljivost - IPv6 posjeduje mehanizam koji mobilnim čvorovima omogućuje da mijenjaju lokaciju i adresu bez da - gubljenja postojećih veza s kojima čvorovi komuniciraju
- mogućnost označavanja tokova - paketi koji pripadaju istom toku mogu se označiti
- provjera autentičnosti i zaštita privatnosti poboljšavaju integritet i povjerljivost podataka
Razlike između IPv4 i IPv6
Prva je vidljiva razlika između IPv4 i IPv6 u njihovim zaglavljima. Neka su polja uklonjena jer za njih više nije bilo potrebe, a neka su dodana. U svezi zaštite, IPv6 također donosi neka nova poboljšanja. No implementacija novog protokola ujedno znači i nastanak novih problema kojih još nismo svjesni i koji će se tek pojaviti. Kako bi se spomenuti problemi riješili, razvijene su mnoge sigurnosne tehnike i metode. Najbitnija je IPSec koja služi za enkriptiranu komunikaciju između poslužitelja, a uključuje niz kriptografskih protokola za zaštićenu razmjenu podataka i izmjenu ključa koji se pritom koriste. To je moguće i u IPv4, ali nije obvezno kao kod IPv6.
Iako je IPv6 napravio velike pomake u sigurnosti IP-a, još postoje prijetnje koje nisu do kraja riješene, a naslijeđene od protokola IPv4 – najveća opasnost i dalje su virusi i crvi
Dodana su i dva zaglavlja vezana uz sigurnost: zaglavlje AH (eng. Authentication Header) služi za autentifikaciju i integritet podataka, a ESP (eng. Encapsulating Security Payload) osim za autentifikaciju i integritet, služi i za povjerljivost podataka. Enkripciju nadopunjuje i protokol IKE (eng. Internet Key Exchange) koji se koristi za uspostavljanje i pregovaranje sigurnosnih parametara između krajnjih točaka.
Iako je IPv6 napravio velike pomake u sigurnosti IP-a, još postoje prijetnje koje do kraja nisu riješene, a nažalost su naslijeđene od protokola IPv4. Slijedi detaljniji popis tih prijetnji.
a) Skeniranje i motrenje: napadač prije napada pokušava naučiti što više o mreži koju napada. To se najčešće radi aktivnim skeniranjem portova ili, pasivnije, poput pronalaženja potrebnih informacija preko javnih dokumenata ili tražilica. Postupak je identičan kao i za IPv4, no razlika između napada na IPv6 i IPv4 jest u tome što je IPv6 podmreža puno veća. Umjesto prijašnjih 256 ispitnih poruka, sad ih mora poslati daleko više, pa kad bi ih poslao i milijun u sekundi prema mreži sa 64-bitnim prefiksom, trebalo bi više stotina godina konstantnog skeniranja da se nađe prvo aktivno računalo. Jasno, postoje određeni parametri koji smanjuju vrijeme pretrage. Tako se, recimo, kod adresa ‘multicast’ mogu identificirati ključne IP adrese, poput adresa usmjeritelja ili DHCP servera s točno definiranim adresama. Prevencija za takve napade jest filtriranje na razini vatrozida kao i za IPv4, te redovito ažuriranje operativnih sustava, ponajprije dok se ne stabilizira implementacija IPv6 u produkciji.
b) Neautorizirani pristup: napadač pokušava neautorizirano pristupiti računalu putem IP-a. Takve vrste napada onemogućavale su se na mrežnom i transportnom sloju IPv4 protokola, najčešće pomoću vatrozida ili u kombinaciji s provjerom koja uključuje gornje slojeve poput aplikacijskog sloja. Kod IPv6 princip zaštite je isti, no problem se javlja kod definicije dodatnih zaglavlja kojima se određuje prolaz određenih IPv6 paketa. Ako se pravila krivo postave može doći do nenamjernog odbacivanja i paketa koji nisu zlonamjerni. Situacija se dodatno komplicira činjenicom da mnogi vatrozidi dostupni na tržištu još nemaju dovoljno razvijenu logiku filtriranja po dodatnim zaglavljima pa koriste razna parcijalna riješenja.
c) Fragmentacija i manipulacija zaglavlja: koristi se za dvije stvari - prva je da se fragmentacija koristi u svrhe obilaska mrežnih uređaja kao što su NDIS (eng. Network Driver Interface Specification) ili vatrozid. Druga je da se pomoću fragmentacije izravno napadne mrežna infrastruktura. U IPv6 fragmentacija je zabranjena po RFC 2460, po kojemu se svaki fragment manji od 1280 okteta može odbaciti ako paket nije zadnji u toku, no to ovisi i o implementaciji operativnog sustava. Takve se stvari rješavaju na razini vatrozida.
d) Spoof na mrežnom i transportom sloju: mogućnost modificiranja izvorišne IP adrese tako da izgleda kao da je došla s neke druge lokacije. Takve vrste napada mogu olakšati DOS i spam (neželjena e-pošta) te napade virusima ili crvima. U tom su pogledu stvari ostale iste kao i kod IPv4. Način na koji se to može riješiti jest implementacija RFC 2827 koji definira filtraciju od strane ISP-ova (eng. Internet Service Provider), ili korištenjem kriptografske zaštite.
e) Napadi ARP i DHCP: napadi koji pokušavaju natjerati računalo da komunicira s neautoriziranim ili kompromitiranim izvorima (najčešće preko spoof tehnike napada) i da se ta računala pokušaju konfigurirati s krivim informacijama o mreži poput DNS-a. Nažalost, ni tu nema napretka naspram IPv4. Dedicirani DHCP serveri kod IPv6 rijetko se koriste i općenito služe kao nadopuna u smislu DNS servera, IP servera za telefoniju i slično. ARP je u IPv6 zamijenjen elementima ICMPv6 (eng. Internet Control Message Protocol) koji bi trebali riješiti taj problem.
U svakom slučaju potrebno je provjeriti jesu li nam računala spremna za IPv6, a vjerojatno jesu ako računalo nije starije od nekoliko godina
f) Smurf: alat koji se koristi pri DOS napadu, pomoću kojega napadač "glumi" žrtvin IP te šalje poruke koje traže odgovor prema drugim računalima u mreži. Ta računala odgovaraju i tako odgovorima zagušuju računalo s tom IP adresom. Način na koji je to riješeno u IPv6 jest preko dokumenta RFC 2463 kojim se ICMPv6 poruke ne bi smjele generirati kao odgovor na pakete s ‘multicast’ izvorišnim IP adresama. Ako računalo ima implementiran RFC 2463 onda problema kod tog napada nema.
g) Napad na usmjeritelje: cilj je napada usmjeritelj kako bi se poremetio ili preusmjerio promet u mreži. To se može postići na mnogo načina poput preopterećenja (flood) ili krivim oglašavanjem ruta. BGP (eng. Border Gateway Protocol) nije promijenio zaštitne mehanizme prelaskom s IPv4 na IPv6, već za autentifikaciju i dalje koristi TCP MD5. OSPFv6 (eng. Open Shortest Path First) i RIPng (eng. Routing Information Protocol) oslanjanju se pritom u potpunosti na IPSec i to na dodatna zaglavlja AH i ESP. Obrana od tog napada upravo je u implementaciji i korištenju zaštitnih mehanizama protokola IPSec-a i BGP.
h) Virusi i crvi: To su danas i dalje najveći problem IP mreža općenito. Ne mijenjaju se prelaskom na IPv6 te se primjenjuju mehanizmi zaštite kao kod IPv4.
i) Translacija, tranzicija i mehanizmi tuneliranja: napadi koji se mogu javiti tijekom prelaska s protokola IPv4 na IPv6. Načini na koji se planira obaviti tranizicija jesu uporaba tuneliranja (6to4 tuneliranje), translacije i dvojnog složaja (Dual Stack). Svaki navedeni tranzicijski mehanizam ima prednosti i mane glede sigurnosti. Kod 6to4 tuneliranja omogućuje se korištenje protokola IPv6 na postojećoj IPv4 infrastrukturi – paketi IPv6 enkapsuliraju se unutar paketa IPv4 koji se pritom prenose preko IPv4 infrastrukture. Mogući su problemi DOS napadi koji otežavaju lociranje računala koji generiraju DOS napade te krađa servisa gdje napadač može koristiti uslugu, a da nije autoriziran.
j) Translacija ili TRT (eng. Transport Relay Translator) omogućuje računalu koje ima implementirano samo protokol IPv6 izmjenu prometa TCP (eng. Transmission Control Protocol) i UDP (eng. User Datagram Protocol) s računalima koja imaju implementiran samo IPv4, ali i obratno. To ne zahtijeva previše modifikacija na oba računala i nema problema s fragmentacijom paketa. No ni translacija nije imuna na sigurnosne napade. TRT presreće TCP vezu između dvaju čvorova što se može zlonamjerno iskoristiti. Dodatni je problem nemogućnost korištenja IPSec-a. Dvojni složaj pristup je koji se najviše koristi, a omogućuje paralelno korištenje IPv4 i IPv6. Krajnja računala koriste oba protokola i u slučaju da se detektira korištenje IPv6, on se uzima kao poželjan. Pri implementaciji tog načina tranzicije javlja se dvostruki sigurnosni problem – na oba mrežna složaja. Kada se IPv6 posve implementira, mrežni složaj IPv4 može se jednostavno onesposobiti i jedan dio sigurnosnog problema nestaje. Ne zaboravimo, to su privremena rješenja koja traju sve dok implementacija IPv6 ne bude potpuna.
Pogled u budućnost
U području sigurnosti stvari se u IPv6 nisu puno promijenile, ali idu na bolje. Neki problemi poput filtriranja paketa na razini IP zaglavlja, skeniranja portova i odbacivanja nestandardizirano fragmentiranih paketa donekle su riješeni, no pravi problemi poput virusa i crva uopće nisu poboljšani. Preostaje nam vidjeti kako će se stvari dalje odvijati, jer noviteti su uvijek imali i fazu "dječjih bolesti".